10億個のパスワードとメールアドレスが漏洩しました。どういう意味ですか?
サイバーセキュリティの専門家が常に資格情報の詰め込みについて話しているのを聞きますが、そのような攻撃をやめるための純粋なロジスティックスについて考えたことはありますか?クレデンシャルスタッフィング(またはパスワードスタッフィングと呼ばれることもあります)は、1つのオンラインサービスで漏洩したユーザー名とパスワードのコンボを取得し、他の複数のユーザーに対して試行することを意味しています。ユーザーは異なるプラットフォームで同じログイン資格情報を使用するため、1つのユーザー名とパスワードのペアで多くのアカウントを開くことができます。理論は非常に単純ですが、あなたの一部はすでにいくつかの問題を発見しているかもしれません。
まず、クレデンシャルスタッフィングの魅力は、一度に多くの人に影響を与えることです。ハッカーがすべてのユーザー名とパスワードのペアをすべて手動で入力し、「ログイン成功」メッセージが表示されるまで待つ必要がある場合、攻撃は特に効果的ではありません。そのため、彼らは特別なスクリプトとボットネットを使用してほとんどの作業を行っています。しかし、犯罪者が最初から大量の漏洩した資格情報を持っていなければ、この自動化はすべて無意味です。それらを取得することは、一見、大きな問題です。
もちろん、詐欺師はいつでも暗いWebマーケットプレイスやハッキングフォーラムにアクセスして、盗まれたユーザー名とパスワードと引き換えにビットコインを撃退できます。ただし、結果として、検索エンジンを使用するだけで済む場合があります。
保護されていないElasticSearchデータベースに残された1.5 TBのメールアドレスとパスワード
多くの大規模なデータリークの発見と開示を担当したサイバーセキュリティの専門家であるボブディアチェンコは、まさにそれを行いました。彼は検索エンジンを使用しました。 12月4日、彼は、インターネットスキャンサービスであるBinaryEdgeの助けを借りて、どのような形式の認証でも保護されていないElasticsearchデータベースを見つけました。その中には、1.5 TBの重さのある27億件のレコードがありました。すべてのレコードには電子メールアドレスがあり、そのうち約10億にはプレーンテキストパスワードも含まれていたため、大規模なクレデンシャルスタッフィング攻撃を仕掛けようとする人にとってデータベースは最適です。
実際、これがデータがそもそも公開された理由かもしれません。ディアチェンコはそれを発見した後、調査結果をComparitechの研究者と共有しました。Comparitechは詳しく調べて、誰かがElasticsearchのインストールにレコードを追加していると述べました。研究者はデータベースの所有者を見つけることができませんでしたが、それをホストしたISPに通知し、12月9日に削除されました。ただし、BinaryEdgeは最初に12月1日にインデックスを作成しました。つまり、ログイン資格情報が1週間以上公開されたままになっています。その期間中に、あらゆる人があらゆる種類の悪意のある活動にそれらをダウンロードして使用できました。
ほとんどの認証情報は、「The Big Asian Leak」から取得されます。
2017年1月、DoubleFlagというニックネームのサイバー犯罪者は、彼が販売しようとした10億近いアカウントのデータダンプを「ビッグアジアリーク」と説明しました。 Comparitechの専門家によると、このダンプは、Diachenkoが今月初めに発見した、保護されていないElasticsearchデータベースに置かれました。
ユーザー名とパスワードの大部分は、人気のある中国のオンラインサービスから盗まれたものであり、東アジアの人々に属しているため、この名前が付けられています。 HackRead が当時報告したように 、DoubleFlagはログイン資格情報に600ドル強を望んでいました。 3年もたたないうちに、インターネットに接続し、どこを見るべきかを知っている人なら誰でもアクセスできるようになりました。これは、盗まれたデータがどれほど早く減価するかを示しています。
明るい面では、ユーザー名とパスワードはかなり古いため、少なくともそれらの一部は無効になっています。ただし、この特定のデータリークを他の同様のインシデントよりも怖がらせる原因が1つあります。極東の人々は、ラテン文字を理解して入力するのに苦労することがよくあります。そのため、メールアカウントを作成するときに、電話番号をユーザー名として使用することがよくあります。このおかげで、保護されていないデータベースにより、非常に多くの電話番号が公開され、それ自体が非常に多くの損害を引き起こす可能性がありました。
電話番号が電子メールアドレスに含まれていなくても、この特定のデータリークの影響を受けていなくても、同じパスワードを複数回再利用することで、どのようなリスクを冒しているかが再び露出で示されるはずです。アカウント。